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METHODE DE GESTION DE LA SECURITE D' APPLICATIONS AVEC UN 

MODULE DE SECURITE. 

La presente invention concerne le domaine des reseaux mobiles appeles aussi 
reseaux cellulaires. Elle concerne plus particulierement la gestion de la securite des 
5 applications mises en oeuvre avec un module de securite associe a un equipement 
mobile de telephonie mobile. 

Le module de securite d'un telephone mobile ou portable est connu sous 
I'appellation "carte SIM" (Subscriber Identity Module) constituant I'element central 
de la securite de ces telephones. L'operateur de telephonie introduit, a la fabrication 

10 et/ou lors d'une phase de personnalisation, un numero appele IMSI (International 
Mobile Subscriber Identification) servant a identifier d'une maniere sOre et unique 
chaque abonne desirant se connecter sur un reseau mobile. Chaque telephone 
mobile, appele equipement mobile ci-apres, est identifie physiquement par un 
numero stocke dans une memoire non volatile de I'equipement mobile. Ce numero, 

15 appele IMEI, (International Mobile Equipment Identifier) contient une identification 
du type d'equipement mobile et un numero de serie servant a identifier de maniere 
unique un equipement mobile donne sur un reseau du type GSM (Global System for 
Mobile communications), GPRS (General Packet Radio System) ou UMTS 
(Universal Mobile Telecommunications System). De plus, un equipement mobile est 

20 caracterise par une version de logiciel SVN (Software Version Number) indiquant 
I'etat de mise a jour du logiciel de base installe sur I'equipement mobile. La 
combinaison de ('identification du type et du numero de serie de I'equipement 
mobile avec la version de logiciel (SVN) donne une nouvelle identification, appelee 
IMEISV (International Mobile Equipment Identifier and Software Version Number). 

25 Le meme concept d'identification s'applique egalement au WLAN (Wireless LAN) ou 
au cable TV bidirectionnel. L'identifiant physique peut etre une adresse MAC (Media 
Access Control) qui correspond a I'adresse unique identifiant la configuration du 
materiel d'un utilisateur sur un reseau IP (Internet Protocol) et la version de logiciel 
peut etre transmise par des protocoles de couche superieure bases sur IP. 

30 Les normes ETSI ("European Telecommunications Standards Institute"), definissent 
une station mobile (MS, mobile station) composee d'un equipement mobile (ME, 
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mobile equipment) et d'un module d'abonne (SIM, subscriber identity module). Ce 
module d'abonne est en general amovible c'est-a-dire qu'il peut etre soit retire soit 
transfere d'un equipement mobile a un autre. 

Lors de la mise en service d'un equipement mobile, plus particulierement lors de sa 
5 connexion au reseau d'un operateur, des informations comprenant les donnees 
d'identification sont echangees entre I'equipement mobile et le centre de gestion de 
I'operateur qui autorise ou non son utilisation. 

Le document EP0757502 decrit une methode de verrouillage d'un module 
d'identification d'utilisateur lorsque I'identificateur physique de I'equipement mobile 

10 IMEI se trouve sur une liste noire. Lorsque I'equipement mobile se connecte au 
reseau mobile, il transmet I'identificateur IMEI a un centre de gestion. Ce dernier 
verifie par comparaison I'identificateur recu avec le contenu d'une base de donnee 
ou I'operateur enregistre les identificateurs d'equipements mobiles voles ou 
defectueux. Si un identificateur recu est present dans cette base de donnees, le 

15 centre de gestion transmet un message contenant une commande de blocage a 
I'equipement mobile concerne. Cette commande, apres verification de son 
authenticity est transmise au module d'identification qui execute une procedure de 
verrouillage empechant toute connexion ulterieure de I'equipement mobile au 
reseau. 

20 Le document US5864757 decrit une methode deactivation d'un combine mobile avec 
un module d'abonne basee sur I'utilisation d'une cle propre au combine produisant 
un code correspondant a un identifiant du module d'abonne. Le combine inclut une 
cle unique inviolable. Lors de son activation, le centre de gestion de I'operateur 
transmet un message au combine servant a calculer une cle specifique a I'operateur 

25 en utilisant la cle unique du combine. Cette nouvelle cle est utilisee en combinaison 
avec un identificateur du reseau ou du module d'abonne pour generer un mot de 
contr6le qui est confronte avec un code stocke dans le module d'abonne. Si le mot 
de controle concorde avec le code du module d'abonne, le combine est active. 

Les methodes decrites dans ces deux documents traitent exclusivement d'aspects 
30 necessitant une identification physique de I'equipement mobile basee par exemple 
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sur 1'identificateur IMEI. Lorsque ces methodes sont mises en oeuvre, leurs effets se 
concentrent uniquement sur le blocage / deblocage du module d'abonne et/ou de 
I'equipement mobile de manure a empecher toute connexion de I'equipement 
mobile au r6seau. 

Actuellement un equipement mobile offre a I'utilisateur, en plus de sa fonction 
usuelle d'etablissement de conversations telephoniques par le biais d'un acces a un 
reseau mobile, Tutilisation de nombreux autres services supplementaires a valeur 
ajoutee tels que la consultation de diverses informations, les operations bancaires a 
distance, le commerce electronique, Tacces a du contenu multimedia, etc. Ces 
services evolues necessitent un niveau de securite de plus en plus eleve afin de 
premunir les utilisateurs contre les fraudes eventuelles causees par des tiers 
cherchant a exploiter des failles de securite qui peuvent apparaTtre sur les 
equipements mobiles. 

Une verification devient done necessaire au moins a deux niveaux: d'une part au 
niveau de I'equipement mobile lui-meme et d'autre part a celui des applications 
logicielles permettant le fonctionnement des differents services proposes par 
l'op6rateur ou par des parties tierces. II s'agit de garantir que le module d'abonne 
fonctionne seulement avec un equipement mobile de type et de version de logiciel 
dument autoris6 ou homologue par I'operateur et/ou par les fournisseurs 
duplications. Par fonctionnement du module d'abonne, on entend sa capacite de 
permettre Tutilisation de services sollicites par un utilisateur en executant un certain 
nombre duplications logicielles pr§alablement installees dans une memoire de 
I'equipement mobile et qui se servent du module d'abonne comme moyen de 
protection. 

Ces applications executes dans I'equipement mobile utilisent des ressources 
disponibles dans le module d'abonne. Par ressources, on entend diverses fonctions 
et donnees necessaires au bon fonctionnement d'une application. Certaines de ces 
ressources peuvent etre communes a plusieurs applications, notamment les 
fonctions liees a la securite. Le module d'abonne peut ainsi bloquer ou alterer le 
fonctionnement de certaines applications pour lesquelles les conditions de s§curit6 
etablies par Top§rateur et/ou les fournisseurs duplications ne sont pas respectees 
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dans I'equipement mobile en question ou les droits de I'utilisateur de I'equipement 
mobile sont insuffisants. 

Les documents cites ci-dessus ne couvrent pas les aspects logiques relatifs a un 
ensemble d'equipements mobiles comme par exemple des informations relatives a 
5 des applications logicielles installees, un numero de version de logiciel ou encore 
une reference de type ou de modele de I'equipement mobile, etc. II s'agit done de 
disposer d'une methode de gestion ciblee des ressources du module d'abonne afin 
d'activer / desactiver d'une maniere selective des applications ou des fonctions 
duplications utilisant ces ressources. II n'est toutefois pas souhaitable que ces 
10 operations empechent I'equipement mobile d'acceder au reseau en bloquant 
totalement le module d'abonne. 

Le but de la pr§sente invention est de proposer une methode de gestion de la 
securite de I'ensemble equipement mobile, module d'abonne, applications afin de 
limiter les risques lies au fait qu'un module d'abonne soit utilise a mauvais escient 
15 par des applications executees sur un equipement mobile de type et/ou de version 
de logiciel ne remplissant pas certains criteres de securite preetablis. 

Un autre but est de proteger Tutilisateur de I'equipement mobile ainsi que les 
fournisseurs d'applications concernes contre les abus resultants d'un clonage de 
I'equipement mobile et/ou du module d'abonne. 

20 Ces buts sont atteints par une methode de gestion de la securite d'applications 
fonctionnant dans un equipement connects a un reseau, ledit r6seau etant 
administre par un serveur de controle d'un operateur, lesdites applications utilisant 
des ressources (donnees ou fonctions) stock6es dans un module de securite relie 
localement audit 6quipement, comprenant les 6tapes preliminaires suivantes: 
25 • reception de donnees comprenant au moins le type et la version de logiciel de 
I'equipement et Tidentite du module de securite, via le reseau, par le serveur de 
controle, 

• analyse et verification par le serveur de controle desdites donn§es, 
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• generation d'un cryptogramme a partir du resultat de la verification sur lesdites 
donnees, et transmission dudit cryptogramme, via le reseau et I'equipement, au 
module de securite, 

ladite methode est caracterisee en ce que le module de securite analyse le 
5 cryptogramme recu et active, respectivement desactive des ressources (donnees ou 
fonctions) utilisees par au moins une application installee dans I'equipement, ledit 
cryptogramme comprenant des instructions conditionnant le fonctionnement de 
I'application selon des criteres preetablis par le fournisseur de ladite application 
et/ou I'operateur et/ou I'utilisateur de I'equipement. 

10 Les ressources du module d'abonne sont bloquees de maniere ciblee, ceci dans le 
but de bloquer ou reduire la fonction de certaines applications. On ne bloque pas 
directement des applications de I'equipement: on agit de maniere indirecte sur les 
applications, c'est-a-dire que I'effet de blocage va se manifester uniquement lorsque 
I'equipement essaiera d'executer ces applications. 

15 Cette methode s'applique de preference au reseau mobile. Par consequent, 
I'equipement est un equipement mobile, comme par exemple un equipement de 
telephonie mobile ou telephone portable. Le module de securite est un module 
d'abonne insere dans le telephone portable du type carte SIM (subscriber identity 
module). Cet ensemble se connecte a un reseau mobile du type GSM (Global 

20 System for Mobile communications), GPRS (General Packet Radio System), UMTS 
(Universal Mobile Telecommunications System) ou autre, gere par un serveur de 
contrdle d'un operateur. Des applications logicielles sont installees dans 
I'equipement mobile et configurees de maniere a utiliser des ressources (donnees 
ou fonctions) presentes dans le module d'abonne. Elles ne peuvent done etre 

25 utilisees dans leur integrite seulement si les conditions de securites sont satisfaites 
selon des criteres preetablis par I'operateur et/ou le fournisseur d'applications. Cette 
verification des criteres est a la charge du serveur de controle. L'application, suite 
aux instructions envoyees par le serveur de controle, est finalement a la charge du 
module de securite qui peut laisser libre ou bloquer I'acces a des ressources 

30 necessaires au bon fonctionnement d'une application installee dans I'equipement 
mobile. 
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Les donnees de ces ressources peuvent comprendre des informations tels que 
numero de comptes, des programmes (sous forme de code pouvant etre installe 
dans I'equipement mobile), des des d'encryption/decryption, des droits d'acces a du 
contenu, etc. 

5 Les fonctions de ces ressources peuvent comprendre des algorithmes 
cryptographiques, des processus de verification, des processus de generation de 
signatures digitales, des processus d'encryptage, des processus d'authentification, 
des processus de validation de donnees, des processus de controle d'acces, des 
processus de sauvegarde de donnees, des processus de paiement etc. 

10 Le serveur de controle joue un role essentiel en gerant les elements de confiance 
ou de securite lies a I'ensemble equipement mobile / module abonne. II interprete 
les donnees qui lui sont transmises par I'equipement mobile afin de controler ou 
limiter I'utilisation d'applications, fonctions ou ressources disponibles au moyen du 
module d'abonne. 

15 Le serveur recevant les informations d'identite d'un equipement mobile et de son 
module d'abonne et comprenant I'IMEISV et TIMSI decide, selon certains criteres, si 
une nouvelle instruction doit etre envoyee au module d'abonne pour redefinir un 
nouveau profil de protection definissant les ressources du module d'abonne pouvant 
etre utilisees par les applications executees dans I'equipement mobile. Les criteres 

20 peuvent se referer, par exemple, a la mise a jour de la version de logiciel installee 
sur I'equipement mobile, au telechargement de nouvelles applications sur 
I'equipement mobile, a la periode de mise a jour du profil de protection, au nombre 
de connexions au reseau, a la technologie utilisee pour I'acces au reseau, a 
I'identite du reseau d'acces utilise, lis sont egalement lies a differents risques 

25 associ§s au materiel ou aux logiciels utilises que I'operateur et/ou le fournisseur 
d'applications et/ou I'utilisateur de I'equipement mobile desirent prendre en compte. 

La methode selon I'invention s'execute generalement Iors de chaque connexion de 
I'equipement mobile au reseau ou apres chaque mise a jour de la version de logiciel 
de I'equipement mobile ou de celle du module d'abonne ou encore de celle de 
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ressources sur le module d'abonne. Elle peut egalement etre executee lors de 
chaque activation ou deactivation d'une application sur I'equipement mobile. 

Selon une variante, elle peut etre executee periodiquement a un rythme donne par 
le serveur de contrSle ou apres chaque demarrage d'une application sur 
5 I'equipement mobile. Selon une autre variante, le module d'abonne ne va pas 
recevoir un nouveau message du centre de contrdle tant que I'identifiant IMEISV de 
I'equipement mobile demeure inchange. 

Lors de la re-initialisation du module d'abonne, il est preferable de bloquer un 
certain nombre de ressources jusqu'a I'arrivee du cryptogramme. Ainsi, si 

10 I'equipement mobile veut intercepter le cryptogramme et ne pas le transmettre au 
module abonne, tout ou partie des ressources (donnees ou fonctions) du module 
d'abonne ne seront pas disponibles pour les applications executees dans 
I'equipement mobile. Selon le type de realisation, il est possible que certaines 
ressources du module d'abonne utilisees par des applications d'un bas niveau de 

15 securite, soient mises en fonction par defaut avant I'arrivee du cryptogramme. Ceci 
est egalement le cas pour des ressources necessaires a I'obtention de I'acces au 
reseau, sans quoi renvoi du cryptogramme ne serait pas possible par ce meme 
reseau. 

Lorsque le module d'abonne verifie la validit6 du cryptogramme, il identifie aussi de 
20 maniere indirecte l'6quipement mobile et s'assure que les donnees viennent 
effectivement du serveur de controle. Autrement dit, par ce cryptogramme, ie 
serveur de controle donne implicitement I'assurance au module d'abonne que le 
type et la version de logiciel de I'equipement mobile ont ete pris en compte avant de 
transmettre des instructions au module abonne. Ces dernieres sont, de ce fait, 
25 chargees, le cas echeant, de donner ou refuser I'autorisation d'utilisation complete 
ou partielle de certaines applications de I'equipement mobile. 

L'equipement mobile joue un role de relais dans cette etape de verification en 
etablissant un dialogue quasi direct entre le module d'abonne et le serveur de 
contrdle. Ainsi la securite des messages echanges est assuree de bout en bout 
30 entre le serveur de contrdle et le module d'abonne via I'environnement d'execution 
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des applications mises en oeuvre sur Tequipement mobile. Celui-ci ne peut done pas 
"tricher" ou transformer les donnees vis-a-vis du module d'abonn6. 

La presente invention concerne 6galement un module de securite comprenant des 
ressources destinees a etre localement accedees par au moins une application 
5 installee dans un equipement relie a un reseau, ledit equipement comprenant des 
moyens de lecture et de transmission de donnees comprenant au moins le type et la 
version de logiciel de Tequipement et Tidentifiant du module de s6curite, ledit 
module etant caracterise en ce qu'il comprend des moyens de reception, d'analyse 
et d'execution destructions contenues dans un cryptogramrne lesdites instructions 
10 condition nant le fonctionnement de I'application selon des criteres preetablis par le 
fournisseurde ladite application et/ou Toperateur et/ou Tutilisateur de Tequipement. 

Ce module de securite est utilise par exemple comme module d'abonne ou carte 
SIM connecte a un equipement mobile. 

L'invention sera mieux comprise grace a la description detaillee qui va suivre et qui 
15 se refere aux figures annexees donnees a titre d'exemple nullement limitatif, ^ 
savoir: 

La figure 1 illustre un schema bloc montrant les differentes parties de 
Tequipement mobile et du serveur mises a contribution lors de T6change des 
donnees d'identification et du cryptogramrne. 

20 - La figure 2 represente un schema bloc de Tensemble equipement mobile / 
module abonne avec les interactions entre les differentes parties lors du 
fonctionnement d'une application. 

La figure 1 montre Tensemble equipement mobile (CB) et module d'abonne (SIM) 
qui transmet via un r6seau mobile (NET) des donn6es d'identification (ID) que le 
25 serveur de controle (CSE) verifie. Ce dernier renvoie un cryptogramrne (J) vers le 
module d'abonn6 via T6quipement mobile (CB). U6quipement mobile (CB) inclut une 
ou plusieurs applications logicielles (APP) fonctionnant dans un environnement 
d'execution (AEE). Ces applications proviennent soit d'un fournisseur d'applications 
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(FA) associe au serveur de controle (CSE) de I'operateur, soit, elles sont 
programmes d'origine par le fabricant de I'equipement mobile. 

Le module d'abonne inclut des ressources (RES) utilisees par les applications 
logicielles (APP). 

5 La figure 2 montre que le fonctionnement des applications (APP) de I'equipement 
mobile (CB) depend directement des ressources (RES) disponibles dans le module 
d'abonne. En I'absence de ressources adequates, I'application peut, soit ne pas 
demarrer, soit fonctionner de facon tres limitee avec des parametres par defaut 
pouvant generer des messages d'erreur invitant I'utilisateur a accomplir des actions 
10 correctives necessaires comme par exemple changer d'equipement mobile (CB) ou 
de module d'abonne (SIM). 

L'equipement mobile (CB) s'identifie, par exemple lors de chaque requete de 
connexion au reseau, au serveur de contrdle (CSE) via le reseau mobile (NET) en 
transmettant de preference des informations specifiques a un equipement mobile: 

15 IMEISV (International Mobile Equipment Identity and Software Version Number) et 
un code propre a un module d'abonne: IMSI (International Mobile Subscriber 
Identity). Le premier numero IMEISV est une suite de 16 chiffres contenant 
notamment un code d'homologation du fabricant de I'equipement mobile un numero 
de serie identifiant physiquement I'equipement mobile de maniere unique et la 

20 version de logiciel installee sur I'equipement mobile en question. Le second numero 
IMSI est une suite de 15 chiffres et comprend un code attribue par I'operateur 
aupres duquel un utilisateur a souscrit un abonnement permettant d'identifier un 
abonne de maniere unique. Pour des equipements mobiles realises selon des 
normes anterieures etablies par ETSI (European Telecommunications Standards 

25 Institute), la combinaison du numero IMEI compose d'une suite de 15 chiffres et du 
numero SVN compose d'une suite de 2 chiffres fournit egalement les informations 
necessaires a la realisation de la methode. 

Lors de I'identification d'un equipement mobile, le serveur de contrdle (CSE) 
analyse et verifie les donnees (ID) transmises en les confrontant avec le contenu 
30 d'une liste noire (donnees a rejeter) ou d'une liste blanche (donnees acceptees). 
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Une base de donnees permet d'affiner, si necessaire, ('identification d'un abonne et 
de determiner ses particularites telles que services autorises, paiements de 
I'abonnement et/ou des services effectues ou non, periode d'abonnement, profii de 
securite associe a I'equipement mobile utilise, applications installees sur 
5 I'equipement mobile, ressources disponibles sur le module de securite, preferences 
de I'utilisateur de I'equipement mobile, etc. Les resultats de cette verification sont 
ensuite utilises dans le but de determiner un cryptogramme, appele jeton (J), que le 
serveur de controle (CSE) transmet a I'equipement mobile (CB). II est a noter que le 
serveur de contrCle (CSE) peut etre distinct de I'operateur mobile et la requete 
1 0 provenant d'un equipement mobile sera acheminee vers cette autorite de controle. 

L'environnement d'execution duplications (AEE) de I'equipement mobile (CB) 
transmet le jeton (J) tel quel, sans I'alterer, au module d'abonne, I'equipement 
mobile (CB) jouant un role de relais uniquement. 

Si le jeton (J) est valable, le module d'abonne peut liberer, respectivement bloquer 
15 certaines ressources (RES). La ou les applications (APP) peuvent ainsi s'executer 
selon les criteres imposes par le serveur de controle (CSE). En effet, le jeton (J) 
inclut ou est accompagne d'instructions particulieres a destination du module 
d'abonne qui peuvent conditionner le fonctionnement de I'une ou I'autre des 
applications (APP) de I'equipement mobile (CB). Par exemple I'execution de 
20 transactions financieres peut etre limitee lorsque I'abonne se trouve etre connects a 
un autre reseau que celui aupres duquel il est abonne, par exemple dans un pays 
different de celui de son domicile (roaming) en raison de certains criteres de 
securite ou de preferences de I'abonne ou de preferences du fournisseur du service 
financier ou de contraintes legales en vigueur dans le pays en question. Dans un 
25 autre cas, lorsqu'un module d'abonne est insere dans un equipement mobile (CB) 
non reconnu ou non homologue par I'operateur, le jeton (J) retourne par le serveur 
de controle (CSE) peut bloquer des ressources (RES) du module d'abonne et, de ce 
fait empecher ou alterer, I'execution de ou des applications (APP). 

Dans le cas d'un possible clonage de I'equipement mobile (CB) et/ou du module 
30 d'abonne (SIM), les resultats de la verification avec la base de donnees 
comporteront des instructions dependant des risques que I'operateur accepte de 
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prendre avec des telephones mobiles clones. Par exemple, le jeton (J) genere en 
consequence peut soit bloquer toutes les ressources (RES) du module d'abonne, 
soit limiter leur utilisation dans le temps et/ou creer un message d'avertissement a 
I'abonne via I'environnement d'execution des applications (AEE). 

5 Le jeton (J) peut etre par exemple associe a une signature generee a I'aide d'une 
cle privee RSA, (Rivest, Shamir, Adelman) Krsa.ph a partir d'un ensemble de 
donnees contenant, par exemple, I'IMSI, I'lMEISV, les references des ressources du 
module d'abonne, un compteur. Cette cle ne serait connue que du serveur de 
controle, alors que sa partie publique K RS A_pub serait connue du module d'abonne. 
10 L'avantage de ('utilisation de cles asymetriques reside en ce que la cle servant a 
creer des signatures ne se trouve pas a I'exterieur du serveur de contr6le (CSE). 

Bien entendu, d'autres algorithmes a cles asymetriques tels que par exemple DSA 
(Digital Signature Algorithm), et ECC (Elliptic Curve Cryptography) peuvent 
constituer des alternatives a RSA. 

15 L'usage d'algorithme a cles symetriques peut etre prefere pour des raisons de 
simplicity, de rapidite des verifications ou de coOts de fabrication et de mise en 
ceuvre plus faibles. Dans ce cas, la cle serait connue du serveur (CSE) et du 
module d'abonne, par exemple un algorithme IDEA (International Data Encryption 
Algorithm) pourrait etre utilise pour signer I'ensemble (IMSI, IMEISV, references des 

20 ressources da le module d'abonne, compteur). Comme alternative a I'algorithme 
IDEA, des algorithmes tels que, par exemple, TDES (Triple Data Encryption 
Standard) et AES (Advanced Encryption Standard) peuvent aussi etre utilises. 

Dans ces deux variantes a cles asymetriques et symetriques, le module d'abonne 
verifie la concordance des differents champs apparaissant dans le jeton (J), 
25 notamment elle controle le compteur (CPT) en le comparant avec un compteur 
correspondant memorise dans la carte qui est regulierement maintenu a jour. Ce 
compteur permet d'eviter le double usage d'un meme jeton (J) adresse au module 
d'abonne afin d'empecher une attaque par repetition (replay attack). 

Une variante au compteur est d'utiliser un alea (nombre aleatoire) genere par le 
30 module d'abonne. Cet alea est transmis avec les donnees envoyees au serveur de 
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controle. Ce dernier renvoie cet alea dans le cryptogramme de reponse et le module 
d'abonne peut verifier qu'il s'agit bien d'un nouveau message. Plus generalement, 
afin d'6viter tout risque d'usage d'un ancien cryptogramme, ce dernier comprend 
une variable predictible par le module d'abonne, soit un compteur ou un alea. 

5 Le module d'abonne considere aussi les references des ressources (RES) dont il 
autorise ou non Putilisation par les applications executees dans I'equipement mobile 
(CB). 

Le module d'abonne ne connaTt pas en tant que telle les references d'applications 
(APP) installees dans I'equipement mobile (CB). En effet, certaines applications plus 

10 globales possedent une interface relativement ouverte qui leur permet d'etre 
utilisees par n'importe quelles applications secondares externes. Par exemple, sur 
une application generate de paiement peuvent se greffer des applications 
particulieres en fonction du mode de paiement utilise. Le module d'abonne ne peut 
se baser que sur les references de ses propres ressources (RES) (donnees ou 

15 fonctions). En acceptant les risques lies a un equipement mobile, I'operateur fait un 
choix en sachant quelles ressources (RES) du module d'abonne sont utilisees par 
quelle(s) application(s) (APP) executees dans I'equipement mobile (CB). 

Dans une autre variante la signature faite a I'aide d'une cle du type RSA ou IDEA 
peut etre remplacee par un bloc genere avec une cle partagee HMAC (Keyed- 

20 Hashing for Message Authentication) a partir de I'ensemble (IMSI, IMEISV, 
references de ressources du module d'abonne, compteur). HMAC est un mecanisme 
pour I'authentification de messages par ('utilisation de fonctions de hachage 
cryptographiques telles que MD5 (Message Digest) ou SHA-1 (Secure Hash 
Algorithm), en combinaison avec une cle partagee c'est-a-dire que la meme cle se 

25 trouve dans le serveur de controle (CSE) et dans le module d'abonne. 

Cette cle presente a la fois dans le serveur de controle (CSE) et dans le module 
d'abonne peut etre chargee lors de la personnalisation du module d'abonne ou lors 
de I'installation de certaines ressources dans le module d'abonne. Selon les 
options, a chaque ressource ou groupe de ressources du module d'abonne peut 
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etre associee une cle differente, ou la cle peut §tre globale pour Tensemble des 
ressources et unique pour un module d'abonne donne. 

Pour plus de securite, lorsque le module d'abonn6 a regu un jeton (J), il peut 
retransmettre au serveur de controle (CSE), via I'equipement mobile (CB) et le 
5 reseau mobile (NET), un message de confirmation (CF) attestant la bonne reception 
et le traitement adequat du jeton (J) par le module d'abonne. La confirmation (CF) 
comprend au moins un code de succes ou d'erreur de l'op6ration ainsi qu'un 
compteur, similaire a celui du jeton (J), servant a la protection contre les attaques 
par repetition. Ce message permet aussi au serveur de contrdle (CSE) de tenir a 
10 jour le compteur associe au module d'abonne. 

Dans une variante de ['invention, Tequipement mobile peut etre remplace par un 
equipement non mobile tel qu'un decodeur de television a peage ou un ordinateur. 
Le serveur de controle report de la part d'un module de securite, I'equivalent du 
module d'abonne, I'identifiant de Tequipement connecte au reseau et I'identifiant du 
15 module de securite. En reponse, le serveur effectue les verifications telles que 
decrites plus haut et renvoie un cryptogramme au module de securite. Cette 
reponse va liberer ou bloquer des ressources dans le module de securite. 
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REVENDICATIONS 

1. Methode de gestion de la securite d'applications (APP) fonctionnant dans un 
equipement (CB) connects a un reseau (NET), ledit reseau (NET) etant administre 
par un serveur de controle (CSE) d'un operateur, lesdites applications utilisant des 
ressources (RES) (donnees ou fonctions) stockees dans un module de securite 
(SIM) relie localement audit equipement (CB), comprenant les etapes preliminaires 
suivantes: 

• reception de donnees comprenant au moins le type et la version de logiciel de 
Tequipement (CB) et I'identite du module de securite (SIM), via le reseau, par le 
serveur de controle, 

• analyse et verification par le serveur de controle (CSE) desdites donnees (ID), 

• generation d'un cryptogramme (J) a partir du resultat de la verification sur lesdites 
donnees (ID), et transmission dudit cryptogramme (J), via le reseau (NET) et 
Tequipement (CB), au module de securite (SIM), 

ladite methode est caracterisee en ce que le module de securite (SIM) analyse le 
cryptogramme (J) regu et active, respectivement desactive des ressources (RES) 
(donnees ou fonctions) utilisees par au moins une application (APP) installee dans 
Tequipement (CB), ledit cryptogramme (J) comprenant des instructions 
conditionnant le fonctionnement de Tapplication (APP) selon des criteres etablis par 
le fournisseur de ladite application et/ou Toperateur et/ou Tutilisateur de 
Tequipement. 

2. Methode selon la revendication 1 , caracterisee en ce que Tequipement (CB) 
est un equipement mobile de telephonie mobile. 

3. Methode selon la revendication 1, caracterisee en ce que le reseau est un 
reseau mobile du type GSM, GPRS ou UMTS. 

4. Methode selon les revendication 1 et 2, caracterisee en ce que le module de 
securite (SIM) est un module d'abonne insere dans Tequipement mobile de 
telephonie mobile de type carte SIM. 

5. Methode selon les revendications 1 a 4, caracterisee en ce que ('identification 
de Tensemble equipement mobile / module d'abonne (SIM) est effectuee a partir de 
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I'identifiant (IMEISV) de I'equipement mobile (CB) et du numero d'identification du 
module d'abonne (IMSI) propre a un abonne au reseau mobile. 

6. Methode selon la revendication 1 a 5, caracterisee en ce que les criteres 
definissent des limites d'utilisation d'une application (APP) selon des risques 
associes ladite application (APP) et au type et la version de logiciel de I'equipement 
mobile que I'operateur et/ou le fournisseur duplications et/ou I'utilisateur de 
I'equipement mobile desirent prendre en compte. 

7. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque connexion de I'equipement mobile au reseau. 

8. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque mise a jour de la version de logiciel de I'equipement mobile. 

9. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque activation ou deactivation d'une application sur I'equipement mobile. 

10. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque mise a jour de la version de logiciel du module d'abonne. 

1 1 . Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque mise a jour de ressources sur le module d'abonne. 

12. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
periodiquement a un rythme donne par le serveur de controle. 

13. Methode selon les revendications 1 a 6, caracterisee en ce qu'elle s'execute 
apres chaque demarrage d'une application sur I'equipement mobile. 

14. Methode selon I'une des revendications precedentes, caracterisee en ce que 
le module d'abonne (SIM), prealablement a I'execution des instructions donnees par 
le cryptogramme (J), compare I'identifiant (IMEISV) de I'equipement mobile (CB) 
avec celui precedemment recu et initie I'operation de verification seulement si 
I'identifiant (IMEISV) a change. 
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15. Methode selon les revendications 1 a 5, caracterisee en ce que le serveur de 
controle (CSE), prealablement a la transmission du cryptogramme (J), compare 
I'identifiant (IMEISV) de I'equipement mobile avec celui precedemment regu et initie 
reoperation de verification seulement si I'identifiant (IMEISV) a change. 

16. Methode selon les revendications 1 a 15, caracterisee en ce que le 
cryptogramme (J) est constitue par un message encrypte par le serveur de controle 
(CSE) a I'aide d'une cle d'encryption asymetrique ou symetrique a partir d'un 
ensemble de donnees contenant, entre autres donnees, I'identifiant (IMEISV) de 
I'equipement mobile (CB), le numero d'identification du module d'abonne (IMSI), des 
references de ressources (RES) du module d'abonne (SIM) et une variable 
predictible (CPT). 

17. Methode selon les revendications 1 a 16 caracterisee en ce que le module 
d'abonne transmet au serveur de controle (CSE), via I'equipement mobile (CB) et le 
reseau mobile (NET), un message de confirmation (CF) lorsque le module abonne 
(SIM) a regu le cryptogramme (J), ledit message attestant la bonne reception et le 
traitement adequat du cryptogramme (J) par le module d'abonne (SIM). 

18. Methode selon la revendication 1 , caracterisee en ce que I'equipement est un 
d6codeur de tel6vision a peage ou un ordinateur auquel est connecte le module de 
securite. 

19. Module de securite comprenant des ressources (RES) destinees a etre 
localement accedees par au moins une application (APP) installee dans un 
equipement (CB) relie a un reseau (NET), ledit equipement comprenant des moyens 
de lecture et de transmission de donnees comprenant au moins I'identifiant 
(IMEISV) de I'equipement et I'identifiant (IMSI) du module de securite, ledit module 
etant caracterise en ce qu'il comprend des moyens de reception, d'analyse et 
d'execution destructions contenues dans un cryptogramme (J), lesdites instructions 
conditionnant le fonctionnement de I'application (APP) selon des criteres preetablis 
par le fournisseur de ladite application (APP) et/ou I'operateur) et/ou I'utilisateur de 
I'equipement (CB). 
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20 Module de securite selon la revocation 19, caracterise en ce quHl constltue 
un module d'abonne du type "carte SIM" connects a un equipement mobile. 
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